CVE-2026-58480
Kritisk

CVE-2026-58480: Kritisk fejl i Blocksy Companion Pro

Kritisk fejl i WordPress-plugin Blocksy Companion Pro lader hackere uploade skadelige filer og overtage dit website uden login.

CVSS Score
9.8
Offentliggjort
08/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24–48 timer

Hvad er det?

Blocksy Companion Pro er et populært WordPress-plugin, der tilføjer ekstra funktioner til Blocksy-temaet. En kritisk sikkerhedsfejl (CVE-2026-58480) gør det muligt for angribere at uploade skadelige programfiler til dit website — helt uden at have et brugernavn eller adgangskode. Fejlen opstår i den del af pluginnet, der håndterer skrifttyper (Custom Fonts). Et sikkerhedstjek, der skal afvise farlige filtyper, kan snydes ved at navngive en fil fx shell.woff2.php. Systemet ser .woff2 og tror fejlagtigt, det er en skrifttype. Men serveren kører filen som PHP-kode (dvs. som et program), og angriberen har nu fuld kontrol.

Hvem rammer det?

Alle virksomheder og organisationer, der driver et WordPress-website med Blocksy Companion Pro i en version ældre end 2.1.47, er i risiko. Det gælder uanset branche og størrelse — fra webshops og restauranter til advokatfirmaer og foreninger. Sårbarheden kræver ingen forudgående adgang, så alle websites, der er tilgængelige via internettet, kan angribes.

Hvad kan ske?

Hvis en angriber udnytter denne fejl, kan vedkommende:

  • Uploade og køre egne programmer på din webserver (såkaldt Remote Code Execution — fjernkørsel af kode)
  • Stjæle følsomme data fra din database, herunder kundeoplysninger, ordrer og adgangskoder
  • Installere bagdøre (skjulte adgange) og holde adgangen til dit site, selv efter du opdager angrebet
  • Omdanne dit website til et springbræt for angreb mod dine kunder eller samarbejdspartnere
  • Slette eller kryptere data — potentielt som led i et ransomware-angreb

Hvor alvorligt er det?

CVSS-scoren er 9.8 ud af 10 (Kritisk). Det er den næsthøjeste mulige score. Sårbarheden er kritisk, fordi:

  • Angrebet kan udføres over internettet uden login eller særlige rettigheder
  • Det kræver ingen handling fra din side eller dine brugeres side for at lykkes
  • Konsekvenserne rammer fortrolighed, integritet og tilgængelighed fuldt ud

Med andre ord: En angriber kan angribe dit site fra enhver computer i verden, på ethvert tidspunkt, helt automatisk.

Hvad gør jeg nu?

Opdatér pluginnet hurtigst muligt. Sådan gør du det trin for trin:

  1. Log ind på dit WordPress-adminpanel (typisk via dit-domæne.dk/wp-admin).
  2. Gå til Plugins → Installerede plugins og find Blocksy Companion Pro i listen.
  3. Klik på ‘Opdatér nu’ for at installere version 2.1.47 eller nyere. Har du automatiske opdateringer slået til, er den muligvis allerede installeret — tjek versionnummeret.
  4. Bekræft opdateringen ved at se, at versionnummeret nu er 2.1.47 eller højere.
  5. Tjek dine uploadmapper for ukendte filer (fx via dit hostingpanels filhåndtering), særligt i mapper som /wp-content/uploads/. Kontakt din webmaster eller IT-partner, hvis du er usikker.
  6. Skift adgangskoder til WordPress-admin og din hostingkonto som en ekstra sikkerhedsforanstaltning.
Tidsfrist

Opdatér inden for 24–48 timer

Sådan ser Auroa det

Vi anbefaler, at du opdaterer Blocksy Companion Pro til version 2.1.47 eller nyere straks. Sårbarheden er nem at udnytte og kræver ingen teknisk forviden fra angriberen — der vil hurtigt dukke automatiserede scanninger og angrebsværktøjer op, der leder målrettet efter sårbare WordPress-sites. Har du ikke selv adgang til at opdatere, så kontakt din webmaster eller IT-leverandør i dag og bed dem håndtere det med det samme. Overvej også fremadrettet at aktivere automatiske plugin-opdateringer for at mindske risikoen for lignende situationer.

Tidslinje

08/07/2026
CVE offentliggjort i NVD
CVE-2026-58480 registreres officielt i National Vulnerability Database med en CVSS-score på 9.8 (Kritisk). Sårbarheden i Blocksy Companion Pro beskrives offentligt.
08/07/2026
Patch frigivet (version 2.1.47)
Udviklerne bag Blocksy Companion Pro udgiver version 2.1.47, der lukker sikkerhedshullet. Alle brugere opfordres til straks at opdatere.
09/07/2026
Proof-of-concept exploit tilgængeligt
Tekniske detaljer om angrebet er beskrevet tilstrækkeligt detaljeret til, at angribere kan konstruere fungerende angrebsværktøjer. Risikoen for automatiserede angreb mod sårbare sites stiger markant.
10/07/2026
Automatiserede skanninger forventes
Erfaringsmæssigt begynder automatiserede scanningsværktøjer inden for dage at lede målrettet efter WordPress-sites med sårbare versioner af pluginnet. Sites, der endnu ikke er opdateret, er i høj risiko.

Konkrete eksempler

Webshop overtaget via falsk skrifttype-fil

En angriber identificerer en webshop, der kører Blocksy Companion Pro i en ældre version. Via butikssidens offentlige funktion til anmeldelser uploader angriberen en fil kaldet webshell.woff2.php. Systemet godkender filen, fordi det ser .woff2 i filnavnet. Herefter åbner angriberen filen i sin browser og har nu fuld adgang til webserveren — inklusiv alle kunders navn, adresse og ordrehistorik.

Bagdør installeret til senere misbrug

En angriber uploader en skjult bagdørsfil til et sårbart WordPress-site tilhørende en advokatvirksomhed. Filen ligger stille i ugevis uden at gøre noget mærkbart. Senere aktiveres bagdøren, og angriberen henter fortrolige klientdokumenter fra serveren — uden at virksomheden opdager det, før skaden er sket.

Ransomware via kompromitteret webserver

Via den uploadede PHP-fil får en angriber adgang til serverens filsystem og planterer ransomware-kode. Alle filer på serveren — herunder backups gemt på samme server — krypteres. Virksomheden modtager en løsesumsbesked og oplever nedetid på sit website i flere dage, mens situationen håndteres.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-434

Original NVD-beskrivelse (engelsk)

Blocksy Companion Pro plugin for WordPress before 2.1.47 contains an unauthenticated arbitrary file upload vulnerability that allows attackers to upload executable files by bypassing extension validation in the save_attachments function exposed through the Advanced Reviews feature. Attackers can exploit the Custom Fonts extension’s flawed strpos() substring check by uploading double-extension filenames such as shell.woff2.php, causing the validation to pass on the substring match while the web server executes the file as PHP, achieving remote code execution.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-58480
Offentliggjort
08/07/2026
Sidst opdateret
08/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24–48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.